Ders ile İlgili Önemli Bilgiler - eng.bahcesehir.edu.tr

YZM5604 Bilgi Güvenliği Yönetimi
14 Ekim 2014 - 3. Hafta
Dr. Orhan Gökçöl
Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü
Bilgi Teknolojileri Yüksek Lisans Programı
Ders ile İlgili
Önemli Bilgiler
Ders saatleri : Salı, 19:00-22:00 (Beşiktaş/DSC02)
İletişim : Orhan Gökçöl
Orhan.Gokcol@eng.bahcesehir.edu.tr
212 – 381 0 559
Ders Devamı : ---
1
Ders Kaynakları
Ders Destek Web Sitesi :
http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604
-Duyurular ve Hertürlü İletişim
-Ders Notları
-Ödevler/Projeler
-Sınav Sonuçları
-Dersle İlgili Sizinle Paylaşacağım hemen herşey
Ders Değerlendirme
Yaklaşık 5.ci hafta civarında projeler dağıtılacak
2
Bilgi Güvenliği - Tanım
Bilgi güvenliğinin amacı, işletmelerin donanım, yazılım, veri,
her türlü bilgi gibi değerli kaynaklarını korumaktır.
Bilgi güvenliğinin sağlanması, aslında işletmenin iş
hedeflerine ulaşmak için yapması gereken bir «olmazsa
olmazı» olarak da görülebilir.


Bilgi güvenliği…..

Herhangi bir sistemin geliştirilme ve kullanılma döngüsünde yer alan
anahtar bir kısımdır:








Sistem tasarımı
Sistem geliştirme
Sistem işletilmesi (operation)
Sistemlerin devre dışı bırakılması
Sistem kavramının en başında itibaren, bilgi güvenliği unsurlarının
dahil edilmesi gerekir.
Güvenlik teknolojilerinin kullanımı (firewalls, crypto, IDS(Intrusion
Detection Systems), patching), güvenliğin sadece belli bir kısmıdır.
Güvenlik büyük ölçüde, insan, süreçler ve teknolojiye (birlikte) bağlıdır.
Bilgi güvenliği tek sefer yapılan ve sonrasında kendi haline terk edilen
bir durum değildir. Bir süreçtir ve sürekli yönetilmesi gerekmektedir.
İnsanlar (geliştiriciler, kullanıcılar, müşteriler, hacker-lar) –bazen bunu
bilmeseler de- bilgi güvenliği sürecinin parçalarıdır.
3
Bilgi Güvenliği Nedir?
Bilgi güvenliği, bu sebeple, bilgi ve onun kritik bileşenlerinin
(bilginin depolandığı, kullanıldığı ve iletildiği sistemler ve
donanımlar) korunması anlamına gelir.
Fakat, bilginin ve ilişkili sistemlerin korunması; politika,
farkındalıklık, eğitim ve teknoloji gibi unsurlara DA bağlıdır.
Geçtiğimiz hafta gördüğümüz C.I.A. Üçgeni, geçmişten günümüze,
bilgisayar ve bilgi güvenliği için bir endüstri standardı olmuştur.
Zaman içinde, CIA üçgeni, bilginin diğer karakteristiklerini de
içerecek şekilde genişlemiştir.




C.I.A. Üçgeni

Özellikler: CIA


Confidentiality (Gizlilik): sadece izin
verilenler bilgiyi «görebilir»
Integrity (Tamlık): sadece izin
verilenler bilgiyi düzeltme yetkisine
sahiptir (oluşturma, düzeltme ve
silme)



Tamlığın sağlanması: bilginin (başkaları
tarafından) değiştirilemeyeceğinin
bilinmesi
Tamlık ihlallerinin belirlenmesi:
güvenilmeyen durumlar oluştuğunda
alternatif kaynaklardan bilginin elde
edilmesi (yedek diskler, yedek sunucular)
Availability (Erişilebilirlik,
Kullanılabilirlik) : ihtiyaç
duyulduğunda, erişebilir olmak.
4
Bir organizasyonda neler korunmalı?
Bir değere sahip herşey güvenlik altında olmalı/korunmalı.
Tipik bir işletmenin değerli pek çok şeyi vardır. Bunlara
«varlık» (asset) adını vereceğiz.
Bu varlıklar, bazı servisler, süreçler, veri, fiziksel unsurlar vb
olabilmektedir.
Tüm varlıklar şu üç özelliği sağlamalıdır :





C, I, A
Varlık ve varlık değeri

Nasıl belirlenir???.....
Her varlığın bir değeri vardır…



Confidentiality/Gizlilik açısından varlık değeri =>V1
Integrity/Bütünlük açısından varlık değeri =>V2
Availability/Kullanılabilirlik açısından varlık değeri =>V3
Max(V1,V2,V3) => Varlık değeri
- Bu varlığın «Gizliliği» ihlal edilirse kaybım
ne kadar olur?
- Bu varlığın «Bütünlüğü» ihlal edilirse
kaybım ne kadar olur?
- Bu varlığın «Kullanılabilirliği» ihlal edilirse
kaybım ne kadar olur?
5
Bilgi Güvenliği ve Bilgi Güvenliği Yönetimi



Bilgi Güvenliği (BG), değer atfettiğimiz varlıklar için; kaybolma,
hatalı kullanım, kullanılamama, hasar görme, ifşa edilme
risklerine karşı aldığımız her türlü önlemleri ve eylemleri
tanımlar.
Bilgi Güvenliği Yönetimi (BGY), yukarıda tanımlanan riskleri
yönetebilmek ve varlıkların C, I, A hassasiyetlerini makul sınırlar
içinde tutabilmek için işletmenin uygulaması gereken her türlü
(teknik, teknik olmayan) önlemleri (=kontrolleri) tanımladığımız
sistematik bir yaklaşımdır.
Bilgi Güvenliği Yönetim Sistemi (BGYS) : C, I ve A’yı
sağlayabilmek ve etkin bir şekilde yönetebilmek için gereken
yönetim becerilerinin oluşturulmasında kullanılacak bir sistemin
tasarım ilkelerini ifade eder.
Figure 1-6 – Balancing Security and
Access
Kullanıcı 1: Parolamı
bu kadar sık
değiştirmek zaman
kaybı!
BG Sorumlusu:
Şifreleme zaman
alır, ama gereklidir!
Daha hızlı erişim
istiyorum !!!
Güvenlik
Erişim
Güvenlik ve Erişimin Dengelenmesi
Principles of Information Security - Chapter
1
Slide 12
6
Internet ve Güvenlik?



İnternet’in iletişim protokolleri ve teknik altyapısı ilk
tasarlandığında, sanırım hiç kimse Hizmet Dışı
Bırakma (HDB –Denial of Service –DoS) saldırılarını
aklına getirmemiştir (1989 yılına kadar!!!!)
Internetin ilk zamanlarında sadece birkaç tipte
uygulama (dosya transferi, e-posta gibi)
düşünülmüştü—hiç kimse e-ticaret, VoIP, IPTV, vb.
gibi uygulamaları aklına bile getirmemişti!
Sonuçta, internet güvenliği çok sonraları devreye
alınan birtakım değişiklikler sonunda «konuşulabilir»
hale geldi.
13
Örnek: E-posta…




Tamamen/gerçekten gizli bir mesaj gönderebilir
miyiz?
Bir e-posta mesajını gerçekten kime
gönderdiğimizi biliyor muyuz?
Gönderdiğimiz mesajın aktarım sırasında
değiştirilmediğinden emin olabilir miyiz?
Gerçekten anonim/isimsiz bir mesaj
gönderebilir miyiz?
7
Başka bir örnek: Online alışveriş




Satıcıya verdiğiniz bilgilere (kredi kartı bilgileriniz
ve diğer erişim kodları da dahil olmak üzere)
online bir hırsız tarafından erişilemeyeceğinden
emin miyiz?
Gerçekten malı bize satan dükkana ödeme
yaptığımıza nasıl emin olabiliriz?
Tamamen isimsiz/anonim bir şekilde alışveriş
yapabilir miyiz?
İnternet üzerinden satın aldığınız bir ürün için,
ödediğiniz parayı inkar edebilir misiniz?
Dijital Dünya ve BG’nin Önemi

Herkesin birbirine bağlı olduğu bir dünyada
yaşıyoruz : Internet





Virusler, trojanlar
DoS Saldırıları
Phising (Oltaya takılma)
Sahtekarlık (Fraud)
......
Güvenliği sağlamak
her zamankinden çok
daha ZOR..
8
En Temel BGY
%100 güvenlik zaten amacımız
değil! (Teraziyi hatırlayın!) Asıl
amaç, VARLIKLARIMIZ üzerindeki
olası riskleri hesaplayarak bunların
ışığında güvenliği yönetmek
VARLIKLARIMIZ
Her varlık üzerinde aynı risk mi var ?
Her varlık aynı değere mi sahip???
Şimdi güvenliği
yönetmeye
niyetlendik!!
Varlıkları Koruma Sistemleri– Temel Unsurlar








Varlıkları koruma, kuruluşun iş hedefleri, misyonu ve vizyonu ile uyumlu
olmalı.
Varlıkları koruma, işletmelerde gündelik olarak kendiliğinden yapılan bir
eylem olmalı (farkındalıklık!- awareness)
Varlıkları koruma yüksek maliyetli olmamalı
Varlıkları korumada sorumluluklar ve hesap verilebilirlik unsurları açıkça
yer almalı. (Bunlar daha çok politika dokümanlarıyla sağlanır).
Sistem sahiplerinin, organizasyon dışında da bilgiyi koruma ile ilgili
sorumlulukları olmalı!
Varlıkları koruma unsurları, sistem geliştirme hayat döngüsünün ayrılmaz bir
parçası olarak görülmeli.
Varlıkları koruma süreçleri, dönemsel olarak kontrolden geçirilmeli ve
değerlendirilmeli.
Şirket kültürü yapılacak tüm bu işlerde çok belirleyici bir rol oynamaktadır.
9
Bilgi güvenliği – Bilgisayarlar olmadan
önce de vardı!!!
(Sezar şifrelemesi)
Soru

Gizli dinleme ve hattı izleme olması
durumuna karşı mesaj güvenliğini nasıl
sağlarız?
Charlie
Bob
Kredi kartı numaramı
veriyorum…
plaintext
Alice
10
Cevap :

Sadece Alice ve Bob’un anlayabileceği bir dil
kullanarak… - şifreleyici
Charlie
Nz dsfejr dbse ovncds jt…
Bob
ciphertext
Alice
Şifreleme


Şifreleme (encryption),
gönderilen mesajla
birlikte başka bir yazıyı
(anahtar) bir fonksiyona
göndererek şifrelenmiş
bir çıktı üretmektir
Şifresi çözülmediği
sürece, bu çıktı
«anlaşılamaz» bir
formatta olacakdır.
Mesaj
Şifreleme
fonksiyonu
11
Çözümleme

Çözümleme
(decryption), şifreli
mesajı bir anahtar
ile başka bir
fonksiyona
göndererek başta
şifrelenen mesajı
yeniden üretme
işlemidir.
Çözümleme
fonksiyonu
Başlangıçtaki
mesaj
Sezar şifreleyicisi
Harfler: ABCDEFGHIJKLMNOPQRSTUVWXYZ
Şifre : DEFGHIJKLMNOPQRSTUVWXYZABC
(Sezar bu yöntemi, generallerine gönderdiği
mesajlarda kullanıyormuş!!!)
12
Bilgi Güvenliği – Kısa Tarihçe




Bilgisayar güvenliği, ilk büyük boy
bilgisayarlar (mainframe) ortaya çıktıktan
hemen sonra başlamıştır
2. Dünya Savaşı’nda, şifre kırıcı
algoritmalar geliştiren grupların
çalışmalarının sonucunda günümüzün
modern bilgisayarlarının mimarisi ve
çalışma prensipleri ortaya çıkmıştır (örn.
Alan Turing, - Turing Makinası)
Bilgisayar sistemlerine sadece yetkili
kişilerin giriş yapabilmelerini sağlamak
için, kritik birimlerde (askeri bölgeler vb)
fiziksel kontrol uygulanıyordu
Tek düşünülern şey, fiziksel hırsızlık,
sabotaj ve casusluğa karşı önmel almaktı.
Figure 1-1 – The Enigma
Alman kodlama
makinesi : Enigma
13
1960lı yıllar


ABD Savunma Bakanlığı’nın İleri Araştırmalar
Projesi Ajansı (Department of Defense’s
Advanced Research Project Agency (ARPA)), ağ
temelli haberleşme yapısının olabilirliğini
araştırmaya başladı
(Bu projeyi başından itibaren Larry Roberts
yürüttü-internetin Babası olarak da bilinir)
Figure 1-2 - ARPANET
14
1970li ve and 80li yıllar


ARPANET popüler bir şekilde büyüdü (tabii bu
arada potansiyel kötü kullanımları da!)
ARPANET’in güvenliği ile ilgili temel problemler
ortaya çıktı. Bunlar;



ARPANET’e telefonla (dial-up) bağlantılar için hiç bir
güvenlik prosedürü yoktu
Kullanıcı tanımlama ve sisteme yetkilendirme (giriş izni)
konusunda eksiklikler vardı
1970’lerin sonlarında, mikro işlemcilerin kullanımları
çok yaygınlaşmaya başladı bu da beraberinde
güvenlik tehdit artışları getirdi.
R-609 – Bilgisayar Güvenliği Çalışmalarının
Başlangıcı


Dünyada, bilgi Güvenliği çalışmalarının
RAND’ın yayınladığı bir raporla (R-609)
başladığı kabul edilebilir (1979).
Bilgisayar güvenliği, fiziksel güvenliğe ek
olarak şunları da kapsamaktadır:



Veri güvenliği
Veriye yetkisiz erişimlerin sınırlandırılması
Organizasyondaki farklı seviyelerden kişilerin de
sisteme dahil edilmesi
15
www.rand.org
R-609
http://www.rand.org/pubs/reports/R609-1/R609.1.html
16
1990’lar



Bilgisayar ağları çok yoğun olarak kullanılmaya
başlandı, dolayısıyla farklı ağların birbirleriyle
bağlantılı olması ihtiyacı ortaya çıktı. Bu da,
bilgisayarlara ve bilgiye ulaşmak için onlara fiziksel
temas etme ihtiyacını TAMAMEN ortadan kaldırdı.
ARPANET, askeri/akademik ağ olmaktan çıkıp
ticarileşti ve global bir ağ olan INTERNET (ağların
ağı) doğdu
Geliştirilen ilk internet uygulamalarında,
güvenlik en düşük önceliğe sahip noktalardan
biriydi 
Günümüz


Günümüzde internet, milyonlarca
bilgisayarı birbirine bağlayan ve birbirleriyle
haberleşmesini sağlayan (bu bilgisayarların
çok önemli bir kısmında güvenlik yok!!) bir
haberleşme ağı
İnternete bağlı bir bilgisayarın güvenliği,
aslında o bilgisayarın iletişimde bulunduğu
diğer bilgisayar(lar) ve iletişim ortamıyla da
doğrudan ilgili...
17
Bilgi Güvenliği Nedir?

Bir işletmede yer alan her türlü somut ve soyut
varlığın ve bunlara ait kritik sistemlerin (bilgiyi
saklayan, ileten ve kullanımını sağlayan donanımlar
ve sistemler de dahil olmak üzere) korunması

Politikalar ve prosedürler, BG konusunda duyarlı olmak,
eğitim ve teknoloji kullanımıyla da, bilgi güvenliği belli
ölçülerde tahsis edilebiliyor



Güvenli sistemler
İyi uygulamalar
C.I.A üçgeni (C.I.A. triangle) bu konuda standarttı. Üç
önemli bileşen : Gizlilik (Confidentiality), tamlık (Integrity),
kullanılabilirlik (Availability)
Bilgi Güvenliği?



Bilgi Sisteminin özellikleri arasındadır. Sadece teknolojik
altyapı olarak nitelendirilemez
Bu özellikler, hem süreçlerle hem de teknolojilerle
sağlanacaktır
Özellikler: CIA



Gizlilik/Mahremiyet (Confidentiality): sadece “izin verilen
kişi/unsur”lar bilgiyi görebilir
Bütünlük/Tamlık/Doğruluk (Integrity): sadece izin verilen
“kişi/unsur”lar bilgiyi değiştirebilir (bilgi oluşturma ve silme de dahil)
Kullanılabilirlik (Availability): ihtiyaç duyulduğunda bilgi hazırdır,
kullanılabilir
CIA daha sonra bilginin kritik
bileşenlerini de kapsayacak şekilde
genişletilmiş olarak kullanıldı.
Mainframe zamanından
kalma!!
18
Bilginin Kritik Karakteristikleri
Sahip olunan bilginin değeri, bilginin içerdiği
birtakım karakteristiklerle ölçülür:







Kullanılabilirlik (Availability)
Hassasiyet/Doğruluk (Accuracy)
Orijinallik (Authenticity)
Gizlilik (Confidentiality)
Tamlık (Integrity)
İşe yararlık (Utility)
Sahip olma (Possession)
C
I
A
Bilgi Güvenliği teknik konuları olduğu kadar, yönetimsel
unsurları da içermektedir
Güvenlik politikaları geliştirilmeli,
kullanılması sağlanmalı, yaşatılmalı
ve yaptırım gücü olmalı
Process Technology
(Süreç)
Politikaların nasıl
uygulanacağını
gösteren iş
süreçleri
geliştirilmelidir.
Tüm sistemler,
güvenlik
politikaları ile
uyumlu olacak
şekilde
geliştirilmelidir
(Teknoloji)
Human
(İnsan)
Çalışanlar,
politikalarda
tanımlanan
sorumluluklarını
anlamalıdır.
19
Örnek: parola kullanım politikası
-parolaların nasıl sıfırlanacağı ile ilgili
süreç tanımı,
- parolaların en az 8 karakter olduğunu
denetleyecek bir sistemin geliştirilmesi,
- parolalarını başkalarıyla paylaşmamaları
gerektiğini anlayan kullanıcılar
Politika uygulamaları; kullanımda olan süreçlere, politikalarla uyumlu
çalışan ve zorlayıcı yanı bulunan teknolojik çözümlere, ve kullanıcının
politika gereksinimlerini ve kendi sorumluluklarını iyi bir şekilde
anlamasına bağlıdır.
Güvenlik ve Erişimin Dengelenmesi



Mükemmel bir güvenlik tesis etmek imkansızdır –
güvenlik mutlak bir kavram değildir; bir süreçtir
Güvenlik, koruma ve kullanıma hazır olma durumu
arasında bir “denge” hali olarak düşünülmeli
Dengeyi sağlamak için, sistemin güvenlik seviyesi
makul düzeyde bir erişime izin verirken aynı
zamanda saldırılara karşı da koruma sağlamalı.
20
Aşağıdan-Yukarı Yaklaşımı
Güvenlik, sadece sistem yöneticileri tarafından
sağlanmaya çalışılır... (grass-roots effort)
Temel avantaj – bu işle uğraşan her yöneticinin teknik
bilgisi var ve yanlış birşey yapılması olasılığı az
Bu yöntem nadiren çalışır... Çünkü;





Diğer çalışanların desteği/katkısı yok
Tüm organizasyon sadece alt seviye teknisyenler/teknik
kişilerce kontrol ediliyor, bunun zorlukları var. Bilgi erişimi
tam bir işlence olabilir. Organizasyonel ihtiyaçların göz ardı
edilmesi olasılığı var (üst yönetim planlamaya katılmıyor)
Yukarıdan-Aşağıya Yaklaşım

Üst yönetim tarafından yapılır:
 Politikalar, prosedürler ve süreçler modellenir (örn. iso 27001)
 Hedefler ve süreçlerden, projelerden beklenen çıktılar
belirlenir, (dikte edilir!)
 Gereken her aksiyon için kimin sorumlu olduğu saptanır

Böyle bir yaklaşımın doğal olarak üst yönetimden çok kuvvetli bir
desteği olacaktır. Finansal kaynaklar, planlama, şirket kültürüne
etkiler vb çok kolay modellenebilmekte/ olabilmektedir
Bilgi Güvenliği oluşturulması standart bir sistem geliştirme stratejisi
kapsamında da modellenebilir (sistem geliştirme hayat döngüsü)


En başarılı yaklaşım budur.
21
Figure 1-7 – Approaches to Security
Implementation
BGY süreçlerinde kimler çalışır? Ne gibi BG-ilişkili
pozisyonlar var?
22
BG Uygulamasının Planlanması


CIO (Chief Information Officer) ve CISO
(Chief Information Security Officer)
stratejik planların taktiksel ve operasyonel
bilgi güvenliği planlarına dönüştürülmesinde
önemli rol oynarlar
CISO planlama detaylarında, CIO’ya göre
daha fazla yer alacaktır.
CIO : Üst düzey yönetici. GMY’lerden birisi olabilir (BT’den sorumlu GMY ?)
CISO : CIO’ya bağlı çalışan bir pozisyon
Başka ne gibi pozisyonlar olabilir?
CISO İş Tanımı


Şirketteki stratejik bilgi güvenliği planını, gelecek
vizyonunu da düşünerek hazırlar
Şirkette yapılan temel iş faaliyetlerini bilir ve
tamamıyla anlar


Böylece, bu aktivitelerle ilişkili bilgi güvenliği çözümleri
önerebilir…
Şirketteki BG durumunu daha iyiye götürmek
amacıyla; aksiyon planları, çizelgeler, bütçeler,
durum raporları ve benzeri üst yönetim
bilgilendirmeleri hazırlar.
23
Sistem Geliştirme Hayat Döngüsü (SDLC)
(System Development Life Cycle)



SDLC: bir bilgi yönetim sistemi için tasarım ve
uygulama metodolojisi/yaklaşımı
SDLC-tabanlı projeler planlı olabileceği gibi, bir
ihlal (event, security incident) olduğu zaman da
gündeme gelebilmektedir.
Her fazın sonunda genel bir değerlendirme
yapılmaktadır. Böylece projenin durumu
hakkında (devam/bırakalım/dışarıya
yaptıralım/erteleyelim gibi) karar verilmektedir.
Feasibility (Yapılabilirlik)
Evet! Yeterli yerimiz ve
donanımımız var !
Rapor 1 M$ değerinde
stratejik bir adım atmamızı
içeriyor! Yapabilir miyiz?
Hayır, daha önce
buna benzer bir
şeyi hiç yapmadık!
Hayır! Kullanıcılar
yeni tasarıma
direneceklerdir!
Evet! 14 ayda
kendini
amorti eder!
FİZİBİLİTE (YAPILABİLİRLİK) ANALİZİ
24
Sistem Geliştirme Hayat Döngüsü
(SDLC – System Development Life Cycle)


Bilgi güvenliği, diğer ana sistem
implementasyonlarına benzer bir yapıda
yönetilmelidir.
Bir metodoloji kullanılması



Süreç yaklaşımı
Eksik/kayıp adımların oluşması olasılığı yok
Hedef, çok etkin ve yaygın kullanımlı bir bilgi
güvenliği programıoluşturmak
Figure 1-8 – SDLC
Waterfall
Sistem Analizi
Methodology
Sistem Tasarımı
Sistem Geliştirme Hayat Döngüsü – Şelale Metodolojisi
25
SDLC Fazları
1.
Investigation - İrdeleme
İki temel iş yapılıyor

Gereksinimlerin ortaya çıkartılması
Kapsamın belirlenmesi, hangi gereksinimin
önceliği ne?
Maliyet/fayda (Cost/benefit) analizi



Bu faz, iş analizi gibi de düşünülebilir.
Mevcut kaynakların yetip yetmeyeceği
belirlenir. Buna göre geliştirmeye devam
edilir ya da edilmez!. Sistemin geliştirilmesi
ya da geliştirilmemesi ile ilgili gerekçeler
ortaya konur

SDLC

Analiz

Mevcut sistemin analizi




Gereksinimlerin belirlenmesi
 Mevcut sistem
 Gereksinimlerin yapısal bir şekilde listelenmesi
(aynı-benzer olanlar birleştirilir vb)
Alternatif tasarımların/çözümlerin ortaya konması
Alternatiflerin karşılaştırılması
En iyi alternatifin önerilmesi
26
SDLC

Tasarım

Mantıksal (Logical)Tasarım


Fiziksel Tasarım


Sistemin daha çok iş (business) gereksinimlerini
nasıl karşılayacağına ağırlık verir
Sistemle ilgili teknik spesifikasyonlar
Gerçekleştirme - implementation

Gerçekleştirme




Yazılım ve donanım kurulumları
Programlama
Kullanıcı eğitimleri
Dokümantasyon
SDLC

Bakım


Değişen koşullara göre sistemde olabilecek
değişiklikler
Eskiyen sistemin devreden çıkartılması
SDLC’de her aşamada yapılanların dokümante
edilmesi / raporlanması ve bir proje planına
göre hareket edilmesi yararlı olacaktır.
27
SDLC ve SecSDLC (Security SDLC)

SecSDLC :



Olay tabanlı – oluşan bazı olaylara cevap olarak
başlar ya da
Planlama tabanlı – dikkatli bir şekilde geliştirilen
bir stratejinin uygulamasıdır
Her faz sonrasında tüm yapıyla ilgili genel
gözden geçirmeler yapılır
Bilgi Güvenliği Sistemleri
Geliştirme Hayat Döngüsü (SecSDLC)


Bilgi Güvenliği projesinin uygulanmasında
Geleneksel Sistem Geliştirme Hayat Döngüsü
ile aynı fazlar kullanılabilir
Temel süreç tehditlerin tanımlanması ve
berteraf edilmesi için yapılacak kontrollerin
belirlenmesidir
28
Güvenlik – Sistem Geliştirme Hayat Döngüsü


Bazı spesifik noktalarda farklılıklar olsa da
genel metodoloji Sistem Geliştirme Hayat
Döngüsü’ne benzer
SecSDLC süreçleri şunları içerir :


Belli başlı tehditlerin ve bunlarla ilgili risklerin
tanımlanması
Bu tehditlerden korunmak için gereken spesifik
kontrollerin tasarımı ve uygulamaya konulması;
böylece risklerin yönetilerek organizasyon için bir
tehdit olmaktan çıkartılması.
Phases of An SDLC
29
Investigation in the SecSDLC
(İrdeleme)




Genellikle üst yönetimden gelecek bir direktifle başlayan
bir süreçtir. Proje ile ilgili girdileri çıktılar, hedefler ve
bütçe belirlenir.
Sıklıkla yapılan ilk işlerden birisi güvenlik politikalarının
oluşturulmasıdır.
Takımlar oluşturularak problemler analiz edilir, kapsam
belirlenir, hedefler ortaya konulur ve kısıtlar tanımlanır.
Fizibilite analizi yapılarak kurumun güvenlik altyapı
analizi ve bilgi güvenliği yönetimi sistemi kurabilmesi için
gereken kaynaklarının olup olmadığı belirlenir.
Güvenlik Politikaları hakkında daha sonra çok detaylı konuşacağız
Analysis in the SecSDLC
(Analiz)



Kurumda (varsa) mevcut politikalar ve
kontroller incelenerek bilinen tehditlere ne
derece karşı koyabildiği ortaya çıkartılır.
Bilgi Güvenliği çözümünü etkileyebilecek
yasal hususlar ile ilgili bir analiz yapılır.
Risk yönetimi bu adımda başlayacaktır.
Yasal hususlarla ilgili ek bilgileri daha
sonraki haftalarda vereceğim.
30
Risk Yönetimi

Risk Yönetimi: Şirketin karşı karşıya olduğu risk
seviyelerinin tanımlanması, büyüklüklerinin
belirlenmesi ve değerlendirilmesi



Risk Analizi Hakkında daha
sonra Çok detaylı konuşacağız
Özellikle, şirketin sahip olduğu ve süreçlerinde kullandığı
her türlü varlık/bilgi varlığı
Analiz fazını daha iyi anlamak için, şirketin karşı
karşıya bulunduğu tehdit türlerini bilmemiz
gerekmektedir.
Tehdit dendiğinde; şirketin sahip olduğu bir varlığa
tehdit oluşturabilecek herhangi bir yapı (insan, süreç,
bilgisayar programı vb) anlaşılmalıdır.
Bazı Tanımlar :

Attack (Saldırı): Çeşitli açıkları/zaafiyetleri
(vulnerability) kullanarak (exploit), kontrollü bir
sistemi riske atacak şekilde kullanılabilecek her
türlü eylem


Şirketin bilgi ya da fiziksel varlıklarını çalma
kabiliyetine sahip bir yapı
Vulnerability (Zaafiyet): Kontrollü olması gereken
bir sistemde, gerekli kontrollerin olmadığı/
yapılmasının unutulduğu her türlü durum
31
BG Tehditlerine bazı örnekler
Tehdit Kategorisi
Örnekler
İnsan kaynaklı olaylar/hatalar/kazalar
Entelektüel haklara olan tehdit
Planlı bilgi gaspı (extortion)
Planlı hırsızlık (deliberate acts of theft)
Doğal olaylar
Donanım sistemlerindeki hatalar
Yazılım sistemlerindeki hatalar
BT sistemlerine karşı, bilinen bazı saldırı
türleri







Kötü niyetli kod
Kandırma (hoax)
Arka kapı (backdoor)
Password crack
Brute force
Dictionary
Denial-of-service
(DoS) and
distributed denial-ofservice (DDoS)






Sahte e-posta
Man-in-the-middle
Spam
Mail bombing
Sniffer
Social engineering
32
Risk Yönetimi




Varlık Yönetimi (Asset Management) Hakkında
daha sonra Çok detaylı konuşacağız
Her bir tehditle ilgili riskleri önceliklendirmek için bazı
yöntemler kullanılmaktadır.
Riskleri yönetmek için, tüm varlıklar tanımlanmalı ve
değerleri belirlenmelidir.
Risk değerlendirme yaparak, varlıklarımız üzerindeki
riskleri karşılaştırma olanağı buluruz.
Risk yönetimi, bir kuruluştaki varlıkların açıklıklarını
tanımlar ve olası tehditleri dikkate alarak, C, I ve A’yı
tesis etmek için atılması gereken tüm adımları belirler.
SecSDLC Tasarımı

Tasarım aslında iki ayrı fazdan
oluşmaktadır:


Mantıksal tasarım fazı: takım üyeleri bir plan
geliştirir ve temel politikaları inceler, geliştirir.
Fiziksel tasarım fazı: takım üyeleri, planı
uygulamak için gereken teknolojileri
değerlendirir, alternatif çözümler üretir ve bir
final tasarım üzerinde karar kılınır.
33
Güvenlik Modelleri



BG yöneticileri, sıklıkla, BG
tasarımında hali hazırda bilinen,
denenmiş modelleri kullanırlar.
Bu modeller, BG ile ilgili bilinen bütün
unsurları kapsayan bir çerçeve
sunmaktadırlar.
İşletmeler, kendi güvenlik
ihtiyaçlarını karşılayacak bir
çerçeveyi kolayca adapte edebilirler.
Politika (Policy)


BG çerçevesinin kritik elemanlarından birisi
«BG Poltikası»dır
Yönetim, üç tip BG politikası tanımlamalıdır:



Genel politikalar;
Konu-spesifik politikalar
Sistem-spesifik politikalar
Güvenlik Politikalarını gelecek hafta göreceğiz
34
BG Eğitimleri



BG programının ayrılmaz bir parçası da bilgi
güvenliği konularında vereceğimiz eğitimler ve
bilgilendirmelerdir
Bu tip programlarda üç ana kısım bulunur: BG
bilgilendirmeleri, BG eğitimleri, ve BG farkındalık
oluşturma
BG Eğitimleri sonunda:
Improving awareness (Farkındalığın arttırılması)
Developing skills and knowledge (Becerilerin ve konu
hakkındaki bilgilerin geliştirilmesi)
 Building in-depth knowledge (Daha derin bir bilgi
altyapısı oluşturulması)
hedeflenmektedir.


Design – Risklere karşı gerçekleştireceğimiz
koruma kontrollerinin tasarımı


Tehdit ve saldırı risklerine karşı alacağımız
her türlü koruma tedbirlerine «kontrol» adını
vereceğiz.
Kontroller 3 grupta toplanabilir:



Yönetimsel
Operasyonel
Teknik
35
Yönetimsel Kontroller


Güvenlik planlama süreçleri ve güvenlik
programının yönetiminin tasarım ve
uygulamaları ile ilgili hususları kapsar
Yönetimsel kontroller ayrıca:


Risk yönetimi
BG kontrolleri gözden geçirme
hususlarını kapsar.
Risk Yönetimi Hakkında daha sonra geniş
olarak konuşacağız
Operasyonel Kontroller

Daha alt seviyelerdeki yönetimsel fonksiyonları
kapsar. Söz gelimi,



Felaket durumlarından kurtulma (Disaster recovery)
İhlal olaylarına karşı koyma planlaması (Incident
response planning)
Operasyonel kontroller aynı zamanda şunları da
kapsar:



Personel güvenliği
Fiziksel güvenlik
Üretim girdi ve çıktılarının korunması (operasyonel
güvenlik)
Bu kavramları daha sonra göreceğiz
36
Teknik Kontroller

Bilgiyi korumak için kullanabileceğimiz
teknolojiler (firewall, anti virus, ağ
yapılanması, vb)
Contingency Planning (Acil durum/
Beklenmedik durum planlaması)

Şirketi tehdit eden çeşitli durumlar
gerçekleştiğinde (felaket durumu), karşı bir
eyleme geçmek ve bir an önce eski duruma geri
dönmek ile ilgili planlama ve hazırlık dokümanları
ve çalışmaları:



İhlal olaylarına karşılık verme planlaması (Incident
response planning (IRP) )
Felaketten kurtulma planlaması (Disaster Recovery
Planning) (DRP)
İş sürekliliği planlaması (Business continuity planning
(BCP))
Bu kavramları daha sonra geniş olarak
göreceğiz
37
Fiziksel Güvenlik


Fiziksel Güvenlik: Şirketin fiziki kaynaklarını
korumak için gereken karşı tedbirlerin
tasarım, uygulama ve bakımları ile ilgilidir.
Bazı fiziki kaynaklar:



İnsan
Donanım
Destek servisleri
Fiziksel Güvenliği daha sonra geniş olarak
göreceğiz
SecSDLC’nin Uygulanması



BG çözümleri belirlenir, elde edilir, test edilir,
uygulanır, ve yeniden test edilir.
Personel ile ilgili (çalışanlar, müşteriler, ortaklar)
konular belirli eğitim programları düzenlenerek
halledilmelidir
Uygulama fazındaki en önemli unsur proje
planıdır:



Proje planını oluşturmak
İş paketlerini ve proje adımlarını yönetmek,
Projeyi toparlayıp bitirmek
38
BG Proje Takımı

Bir/birden fazla teknik ve teknik olmayan konularda
deneyimi olan kişilerden oluşmalıdır. Proje takımında yer
alan kişiler aşağıdaki şekilde sınıflandırılabilir:







Champion/Şampiyon
Team leader/Takım Lideri
Security policy developers/BG Politikası geliştiricisi
Risk assessment specialists/Risk değerlendirme uzmanı
Security professionals/BG uzmanı
Systems administrators/BG yöneticisi
End users/Son kullanıcı
BG Profesyonelleri

BG ile ilgili konularda, farklı isimlerle anılan
profesyoneller yer almaktadır. Bunlardan
bazıları:







Chief Information Officer (CIO)
Chief Information Security Officer (CISO)
Security Managers/Güvenlik Yöneticisi
Security Technicians/Güvenlik Teknisyeni
Asset Owners/Varlık Sahibi
Asset Custodians/Varlık Koruyucusu
Asset Users/Varlık Kullanıcısı
39
Çeşitli BG sertifikaları

Çoğu kuruluş, BGY çalışmaları sırasında
kullanabileceği kişilerin/çalışanlarının sertifikalı
olmasını ister. Böylece yapılacak işlerde çok daha
olay bir biçimde profesyonellik sağlanmış olacaktır:







CISSP – Certified Information Systems Security Professional
SSCP - Systems Security Certified Practitioner
GIAC – Global Information Assurance Certification
SCP – Security Certificate Professional
ICSA – Certification for Commercial Security Products
Security +
CISM – Certified Information Security Manager
SecSDLC Bakım ve İyileştirme

BG programı uygulamaya geçtikten sonra,




İşletilmeli,
Yönetilmeli
Hazırlanan bazı yönergeleri kullanarak güncel
tutulmalıdır
Eğer program, şirket iç ve dış ortamlarındaki
değişikliklere uygun şekilde adapte
edilemezse, bir süre sonra herşeyi en
başından yapmak ve döngüyü yeniden
başlatmak gerekebilir
40
Bakım Modeli

Sistem yönetimi, geliştirilen yapıyı yönetme ve
işletme amacını taşır. Bakım modeli ise, sistemin
sağlıklı işleyip işlemediği ve karşılaşılan
olumsuzluklar karşısındaki tutumları modeller:






Dış denetim
İç denetim
Risk değerlendirme
Zaafiyetlerin belirlenmesi ve ortadan kaldırılması
Hazır olma durumu
Zaafiyetlerin değerlendirilmesi
41
Bilgi Güvenliği Programı Yönetimi


BG programı oluşturulduktan sonra işletilmeli ve
yönetilmelidir.
İşletmelerdeki BG programlarının çalıştırılması
için, formal bir yönetim standardı kullanmak
çoğunlukla işleri kolaylaştırır.




ISO27001
NIST
COBIT
???
Üst Yönetim - Senior Management

Chief Information Officer /Müdür yardımcısı?



the senior technology officer
primarily responsible for advising the senior executive(s) for
strategic planning
Chief Information Security Officer


responsible for the assessment, management, and
implementation of securing the information in the
organization
may also be referred to as the Manager for Security, the
Security Administrator, or a similar title
42
Bilgi Güvenliği: Bir sanat mı? Yoksa
bilim mi?

Günümüz Bilgi Sistemlerinin karmaşıklığı göz
önüna alındığında, BG’nin uygulanması
sıklıkla bilim ve sanatın bir karışımı olarak
değerlendirilmektedir.
Sanat olarak Güvenlik



Keskin ve hızlı işleyen kurallarımız ne yazık
ki yok. Evrensel olarak kabul gören, her
koşulda doğru çalışan kurallardan da söz
etmek zor
Tüm sistem için sihirli bir el kitabımız yok
Kullanıcılar, geliştirilen politikalar ve teknolojik
kontroller arasında oldukça karmaşık bir ilişki
söz konusu
43
Bilim olarak Güvenlik



Yüksek seviyeli bir performans elde etmek
için teknolojik çözümlere odaklanmak
gereklidir
Hemen hemen her türlü hata, güvenlik açığı
ve hatalı program, yazılım ve donanımın
birbiriyle etkileşimi ile ortaya çıkar
Eğer geliştiricilerin yeterli zamanı olsa, tüm
bu hataları çözebilir ve elemine edebilirlerdi.
Sosyal Bilimler açısından Güvenlik




Sosyal bilimler, sistemlerle etkileşen
bireylerin davranışlarını inceler
Güvenlik her zaman, sistemle etkileşim içinde
olan insanlarla başlar ve biter
Son kullanıcılar muhtemelen zincirin en zayıf
halkalarıdır.
BG yöneticileri çoğu durumda son
kullanıcılardan kaynaklanan riskleri azaltabilir
ve daha kabul edilebilir güvenlik progilleri
oluşturabilirler.
44
C.I.A. Üçgeni

QUIZ
Özellikler: CIA


Confidentiality (Gizlilik): sadece izin
verilenler bilgiyi «görebilir»
Integrity (Tamlık): sadece izin
verilenler bilgiyi düzeltme yetkisine
sahiptir (oluşturma, düzeltme ve
silme)



Tamlığın sağlanması: bilginin (başkaları
tarafından) değiştirilemeyeceğinin
bilinmesi
Tamlık ihlallerinin belirlenmesi:
güvenilmeyen durumlar oluştuğunda
alternatif kaynaklardan bilginin elde
edilmesi (yedek diskler, yedek sunucular)
Availability (Erişilebilirlik,
Kullanılabilirlik) : bilginin, ihtiyaç
duyulduğunda, erişilebilir olması.
45